Un plug-in di WordPress chiamato 'ThemeGrill Demo Importer' ha esposto agli hacker 200.000 siti web

I sistemi di gestione dei contenuti (CMS) come WordPress hanno completamente trasformato il processo di creazione e manutenzione di un sito Web. In questo momento, costruire un sito Web può essere facile come impostare un'installazione di WordPress e aggiungere alcuni contenuti. Le persone che una volta hanno scritto interi siti da zero ora creano temi e plug-in CMS che ti aiutano a modificare e personalizzare il tuo sito Web personale con non più di pochi clic del mouse. È molto più conveniente e, soprattutto, un po 'più economico di un tempo. C'è un compromesso, però.

Le persone che scrivono temi e plugin per piattaforme come WordPress commettono errori di tanto in tanto e, quando lo fanno, gli errori non influiscono su un solo sito Web. Un singolo bug può causare problemi per migliaia di siti Web e se il problema è legato alla sicurezza, le conseguenze possono essere piuttosto devastanti. Una vulnerabilità scoperta di recente nel plug-in Demo Importer di ThemeGrill per WordPress ci ha mostrato quanto potrebbero essere brutte le cose.

ThemeGrill ha lasciato un bug che avrebbe potuto consentire agli hacker di cancellare interi siti Web

ThemeGrill sviluppa temi premium per WordPress e offre anche un plugin chiamato ThemeGrill Demo Importer, che consente agli amministratori di importare facilmente temi e impostazioni direttamente sui loro siti Web. Se si dispone di un sito Web basato su WordPress e se si utilizza l'importatore di demo ThemeGrill, è necessario assicurarsi che il plug-in sia aggiornato all'ultima versione. I ricercatori di WebARX hanno scoperto che tutte le incarnazioni del plug-in tra ThemeGrill Demo Importer 1.3.4 e ThemeGrill Demo Importer 1.6.1 sono interessate da una vulnerabilità di sicurezza critica che può consentire agli hacker di provocare il caos completo.

Il problema si trova con una funzione chiamata reset_wizard_actions, che viene caricata quando il plugin rileva un tema ThemeGrill attivo. La funzione si collega a admin_init che normalmente viene eseguito solo in un ambiente di amministrazione. Può anche effettuare chiamate a /wp-admin/admin-ajax.php, e i ricercatori hanno scoperto che quando interagiscono con questo file, reset_wizard_actions non controlla se un utente è autenticato.

Utilizzando payload accuratamente predisposti, gli hacker possono cancellare tutto il contenuto su un sito Web vulnerabile oppure possono assumere diritti amministrativi e fare più o meno ciò che vogliono con esso.

ThemeGrill ha patchato il plugin

Il rapporto WebARX mostra che rivelare il problema e aiutare con la correzione non è stata l'esperienza più semplice, ma dovremmo sottolineare che abbiamo visto molto peggio. I ricercatori hanno inviato il loro primo rapporto il 6 febbraio. Dopo aver ricevuto nessuna risposta per cinque giorni, hanno cercato di contattare nuovamente ThemeGrill. Il 14 febbraio, lo sviluppatore ha finalmente risposto e, entro due giorni, è stata rilasciata una nuova versione che risolve il problema.

Il fatto che la vulnerabilità sia corretta è una buona notizia, ma è solo metà della storia. ThemeGrill Demo Importer 1.3.4, la versione che ha introdotto il bug, è stata rilasciata tre anni fa enorme e ogni singolo sito Web che ha utilizzato il plug-in tra allora e domenica quando è stata rilasciata la patch è stato esposto. Sebbene non vi siano prove di sfruttamento in natura, molti dei 200 mila siti Web su cui è installato ThemeGrill Demo Importer utilizzano ancora versioni vulnerabili del plug-in, il che significa che potremmo vedere molto presto le vittime della vulnerabilità.

Questo è il problema principale. Secondo W3Techs, WordPress alimenta oltre il 35% di tutti i siti Web in tutto il mondo. Esiste un intero ecosistema che supporta il CMS e milioni di persone lo usano perché mantenere un sito Web con esso è quasi semplice. Purtroppo, l'esperienza ci ha insegnato che gli aggiornamenti e le patch di sicurezza non sono molto importanti in molti degli elenchi di priorità di queste persone. Se Internet deve diventare un posto più sicuro, questo deve cambiare.